Voorwaardelijke toegang configureren in Microsoft Defender voor Eindpunt

Van toepassing op:

• Plan 1 voor Microsoft Defender voor Eindpunt
• Plan 2 voor Microsoft Defender voor Eindpunt
• Microsoft Defender XDR

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

In deze sectie wordt u begeleid bij alle stappen die u moet uitvoeren om voorwaardelijke toegang correct te implementeren.

Voordat u begint

Waarschuwing

Het is belangrijk om te weten dat Microsoft Entra geregistreerde apparaten in dit scenario niet worden ondersteund. Alleen Intune ingeschreven apparaten worden ondersteund.

U moet ervoor zorgen dat al uw apparaten zijn ingeschreven bij Intune. U kunt een van de volgende opties gebruiken om apparaten in te schrijven in Intune:

• IT-Beheer: Zie Automatische inschrijving van Windows inschakelen voor meer informatie over het inschakelen van automatische inschrijving.
• Eindgebruiker: Zie Uw Windows-apparaat inschrijven in Intune voor meer informatie over het inschrijven van uw Windows 10 en Windows 11 apparaat in Intune.
• Alternatief voor eindgebruikers: Zie How to: Plan your Microsoft Entra join implementation (How to: Plan your Microsoft Entra join implementation) voor meer informatie over het toevoegen van een Microsoft Entra domein.

Er zijn stappen die u moet uitvoeren in de Microsoft Defender portal, de Intune portal en Microsoft Entra-beheercentrum.

Het is belangrijk om de vereiste rollen te noteren voor toegang tot deze portals en het implementeren van voorwaardelijke toegang:

• Microsoft Defender portal: u moet zich aanmelden bij de portal met een juiste rol om integratie in te schakelen. Zie Machtigingsopties.
• Intune: u moet zich aanmelden bij de portal met beveiligingsbeheerdersrechten met beheermachtigingen.
• Microsoft Entra-beheercentrum: u moet zich aanmelden als beveiligingsbeheerder of beheerder voor voorwaardelijke toegang.

Belangrijk

Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Dit helpt bij het verbeteren van de beveiliging voor uw organisatie. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen wanneer u een bestaande rol niet kunt gebruiken.

U hebt een Microsoft Intune-omgeving nodig met Intune beheerde en Microsoft Entra gekoppelde Windows 10- en Windows 11-apparaten.

Voer de volgende stappen uit om voorwaardelijke toegang in te schakelen:

• Stap 1: de Microsoft Intune-verbinding vanuit Microsoft Defender XDR inschakelen
• Stap 2: De integratie van Defender voor Eindpunt inschakelen in Intune
• Stap 3: het nalevingsbeleid maken in Intune
• Stap 4: het beleid toewijzen
• Stap 5: een Microsoft Entra beleid voor voorwaardelijke toegang maken

Stap 1: de Microsoft Intune-verbinding inschakelen

1. Selecteer in het navigatiedeelvenster Instellingen>Eindpunten>Algemene>geavanceerde functies>Microsoft Intune verbinding.

2. Zet de instelling Microsoft Intune op Aan.

3. Klik op Voorkeuren voor opslaan.

Stap 2: De integratie van Defender voor Eindpunt inschakelen in Intune

1. Aanmelden bij de Intune-portal

2. Selecteer Endpoint Security>Microsoft Defender voor Eindpunt.

3. Stel Connect Windows 10.0.15063+ devices in op Microsoft Defender Advanced Threat Protection op Aan.

4. Klik op Opslaan.

Stap 3: het nalevingsbeleid maken in Intune

1. Selecteer in de Azure PortalAlle services, filter op Intune en selecteer Microsoft Intune.

2. Selecteer Apparaatnalevingsbeleid>>Beleid maken.

3. Voer een naam en beschrijving in.

4. Selecteer in Platformde optie Windows 10 en hoger.

5. Stel in de instellingen voor apparaatstatusvereisen dat het apparaat zich op of onder het bedreigingsniveau van het apparaat bevindt in op het gewenste niveau:

   • Beveiligd: dit niveau is het veiligste niveau. Het apparaat kan geen bestaande bedreigingen hebben en nog steeds toegang krijgen tot bedrijfsresources. Als er bedreigingen worden gevonden, wordt het apparaat geëvalueerd als niet-compatibel.
   • Laag: het apparaat is compatibel als er alleen bedreigingen op laag niveau bestaan. Apparaten met een gemiddeld of hoog bedreigingsniveau zijn niet compatibel.
   • Gemiddeld: het apparaat is compatibel als de bedreigingen op het apparaat laag of gemiddeld zijn. Als bedreigingen op hoog niveau worden gedetecteerd, wordt het apparaat als niet-compatibel vastgesteld.
   • Hoog: dit niveau is het minst veilig en staat alle bedreigingsniveaus toe. Apparaten met een hoog, gemiddeld of laag bedreigingsniveau worden dus beschouwd als compatibel.

6. Selecteer OK en Maken om uw wijzigingen op te slaan (en het beleid te maken).

Stap 4: het beleid toewijzen

1. Selecteer in de Azure PortalAlle services, filter op Intune en selecteer Microsoft Intune.

2. Selecteer Apparaatnalevingsbeleid>> selecteer uw Microsoft Defender voor Eindpunt nalevingsbeleid.

3. Kies Opdrachten.

4. Neem uw Microsoft Entra groepen op of sluit deze uit om het beleid toe te wijzen.

5. Als u het beleid wilt implementeren in de groepen, selecteert u Opslaan. De gebruikersapparaten waarop het beleid betrekking heeft, worden beoordeeld op naleving.

Stap 5: een Microsoft Entra beleid voor voorwaardelijke toegang maken

1. Open in de Azure PortalMicrosoft Entra ID>Voorwaardelijke toegang>Nieuw beleid.

2. Voer een beleidsnaam in en selecteer Gebruikers en groepen. Gebruik de opties Opnemen of Uitsluiten om uw groepen toe te voegen voor het beleid en selecteer Gereed.

3. Selecteer Cloud-apps en kies welke apps u wilt beveiligen. Kies bijvoorbeeld Apps selecteren en selecteer Office 365 SharePoint Online en Office 365 Exchange Online. Selecteer Gereed om uw wijzigingen op te slaan.

4. Selecteer Voorwaarden>Client-apps om het beleid toe te passen op apps en browsers. Selecteer bijvoorbeeld Ja en schakel browser - en mobiele apps en desktopclients in. Selecteer Gereed om uw wijzigingen op te slaan.

5. Selecteer Verlenen om voorwaardelijke toegang toe te passen op basis van apparaatcompatibiliteit. Selecteer bijvoorbeeld Toegang> verlenenVereisen dat apparaat is gemarkeerd als compatibel. Kies Selecteren om uw wijzigingen op te slaan.

6. Selecteer Beleid inschakelen en vervolgens Maken om uw wijzigingen op te slaan.

Opmerking

U kunt de Microsoft Defender voor Eindpunt-app gebruiken in combinatie met de besturingselementen Goedgekeurde client-app, App-beveiligingsbeleid en Compatibel apparaat (vereisen dat het apparaat als compatibel moet worden gemarkeerd) in Microsoft Entra beleid voor voorwaardelijke toegang. Er is geen uitsluiting vereist voor de Microsoft Defender voor Eindpunt-app tijdens het instellen van voorwaardelijke toegang. Hoewel Microsoft Defender voor Eindpunt op Android & iOS (app-id - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) geen goedgekeurde app is, kan de apparaatbeveiligingspostuur in alle drie de machtigingen worden verleend.

Intern vraagt Defender echter msGraph/User.read-bereik en Intune tunnelbereik aan (in het geval van Defender+Tunnel-scenario's). Deze bereiken moeten dus worden uitgesloten*. Als u msGraph/User.read-bereik wilt uitsluiten, kan elke cloud-app worden uitgesloten. Als u tunnelbereik wilt uitsluiten, moet u Microsoft Tunnel Gateway uitsluiten. Met deze machtigingen en uitsluitingen wordt de stroom voor nalevingsinformatie naar voorwaardelijke toegang ingeschakeld.

Het toepassen van beleid voor voorwaardelijke toegang op Alle cloud-apps kan in sommige gevallen per ongeluk gebruikerstoegang blokkeren, dus dit wordt niet aanbevolen. Meer informatie over beleid voor voorwaardelijke toegang in cloud-apps

Zie Naleving afdwingen voor Microsoft Defender voor Eindpunt met voorwaardelijke toegang in Intune voor meer informatie.

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.